(Sophos - Aktueller Stand vom 08.01.2018 - 15:10 Uhr)
Überblick
Dieser Artikel beschreibt die Auswirkungen der in den Medien diskutierten Probleme mit der Sicherheitslücke (bekannt als Meltdown & Spectre) für Sophos-Kunden.
Folgende Themen werden behandelt:
- Technische Besonderheiten des Problems
- Auswirkung auf Sophos-Kunden
- Sophos Endpoint-Kunden
- Überprüfen Sie, ob Sie das Sophos Update erhalten haben
- Sophos Network-Kunden
- Sophos Schutz vor Meltdown- und Spectre-Exploits
Technische Besonderheiten des Problems
Die Sicherheitslücke betrifft ein Kernel-Speicherleck, das unter Namen wie KPTI, KAISER und F ** CKWIT bekannt ist. Darüber hinaus enthält eine neue, am 03. Januar 2018 veröffentlichte Studie Details zu Exploits, die diese Schwachstelle nutzen – Meltdown und Spectre. Wir begleiteten die Themen auch in unserem Blog.
- Für Microsoft-Produkte werden die Sicherheitslücken mithilfe von Patches behoben, die von Microsoft am 3. Januar 2018 vorzeitig veröffentlicht wurden, siehe Sicherheitshinweis ADV180002 für Details.
- Für Apple-Produkte siehe folgende Erklärung in unserem Blog.
- Patches sind für Linux-Systeme verfügbar. Wir empfehlen Ihnen, sich an Ihren Linux-Kernel-Hersteller zu wenden, um weitere Informationen zu erhalten.
Auswirkung auf Sophos-Kunden
Sophos Endpoint-Kunden
Am 3. Januar 2018 veröffentlichte Microsoft eine Sicherheitsempfehlung (ADV180002), die Hinweise zu dieser Sicherheitslücke und Links zu Sicherheitsupdates enthält.
Der Microsoft-Artikel rät Ihnen, sich an Ihren Antivirus-Hersteller zu wenden, um zu bestätigen, dass Ihre Software mit dem Patch kompatibel ist, und legt auch einen bestimmten Registrierungsschlüssel fest.
Sophos hat das Testen des Patches und des Registrierungsschlüssels abgeschlossen und kann bestätigen, dass keine Kompatibilitätsprobleme aufgetreten sind. Sie werden ab dem 5. Januar 2018 automatisch den Registrierungsschlüssel in Updates für die folgenden Sophos Endpoint / Server-Produkte hinzufügen:
- Sophos Central Endpoints/Servers
- Sophos Enterprise Console Endpoints/Servers
- Preview subscription
- Recommended subscription
- Previous Recommended subscription
- Sophos Endpoint Standalone
- Sophos Virtual Environment (SVE)
- UTM Managed Endpoints
- Sophos Home
WICHTIG: Für Serverbetriebssysteme gibt Microsoft an: "Kunden müssen Schutzmaßnahmen aktivieren, um sich vor spekulativen Sicherheitslücken zu schützen". Um die Schutzmaßnahmen nutzen zu können, müssen Microsoft-Kunden drei zusätzliche Registrierungsschlüssel aktivieren, diese können zu Leistungsproblemen führen und werden nicht von den Antivirus-Anbietern eingestellt. Weitere Informationen finden Sie im Leitfaden zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung bei Windows-Servern
HINWEIS: Für Sophos Central-Kunden, die derzeit im Early Access Program (EAP) registriert sind, lesen Sie bitte diesen Artikel: Meltdown und Spectre – Sicherheitslücken in Zusammenhang mit Intercept X Early Access Program
Für Kunden, die nur Sophos Intercept X und / oder Sophos Device Encryption (z.B. ohne Sophos Antivirus) neben einem Antivirus-Produkt eines Drittanbieters verwenden: Bitte wenden Sie sich an diesen Antivirus-Hersteller, um die Kompatibilität mit dem Microsoft-Patch zu überprüfen und zu klären, ob sie den erforderlichen Registrierungsschlüssel eingesetzt haben.
So prüfen Sie, ob Sie das Sophos Update erhalten haben
Für Kunden, die sichergehen möchten, dass das Sophos-Update angewendet wurde, lesen Sie bitte diesen Artikel:
Kernel-Speicherproblem, das sich auf mehrere Betriebssysteme auswirkt: Wie Sie bestätigen, dass Sie das Sophos-Update haben.
Sophos Central-Kunden, die kontrollierte Updates verwenden, erhalten das Sophos-Update, das den Registrierungsschlüssel automatisch einfügt, nicht. Wenn Sie den Microsoft Patch mit Windows Update benötigen, können Sie die automatische Aktualisierung durchführen, um das Sophos Update für den Registrierungsschlüssels zu erhalten, oder den Registrierungsschlüssel manuell über Ihre eigene Methode (z. B. GPO, Script, Regedit) anwenden.
Sophos Enterprise Control (SEC)-Kunden, die Fixed Extended Subscriptions verwenden, erhalten das Sophos Update nicht, das den Registrierungsschlüssel automatisch festlegt. Wenn Sie den Microsoft Patch mit Windows Update benötigen, können Sie zu einer Subscription wechseln, die das Update enthält, oder den Registrierungsschlüssel manuell über Ihre eigene Methode (z. B. GPO, Script, Regedit) anwenden.
HINWEIS: Sophos hat die Kompatibilität ihrer Produkte mit dem Microsoft-Patch getestet. Sie führen jedoch möglicherweise Software von Drittanbietern aus, die nicht mit dem Patch kompatibel ist. Wir empfehlen Ihnen, sich an Ihre Drittanbieter zu wenden, um ihre Kompatibilität zu bestätigen.
Kunden, die den Patch jetzt vor dem Sophos Update installieren möchten, können den Registrierungsschlüssel manuell einstellen, wie im Microsoft-Artikel beschrieben: ADV180002. Alternativ können Sie den Patch ohne den Registrierungsschlüssel manuell herunterladen und anwenden.
Bitte beachten Sie, dass Microsoft erklärt, dass "Sie möglicherweise auch Firmware-Updates von Ihrem Gerätehersteller installieren müssen, um einen erhöhten Schutz zu erhalten. Fragen Sie Ihren Gerätehersteller nach relevanten Updates." Weitere Informationen finden Sie im Microsoft-Artikel: Leitfaden für IT-Experten zum Schutz vor Sicherheitsrisiken durch Seitenkanalangriffe mit spekulativer Ausführung bei Windows-Clients:
Wir empfehlen, dass Sie alle Firmware-Updates testen, bevor Sie sie in Ihrer Live-Umgebung bereitstellen.
Sophos Network-Kunden
Sophos prüft derzeit die Kernel-Updates für Linux und andere Betriebssysteme, die die Grundlage für die Firmware ihrer Netzwerksicherheitsprodukte bilden. Sophos stellt den neuesten Versionen der unten aufgeführten Netzwerksicherheitsprodukte die erforderlichen Korrekturen (aktualisierte Firmware oder gleichwertige Images usw.) zur Verfügung:
Sophos Firewall OS (XG Firewall) 16.5 und 17
UTM (SG-Serie) 9.5
Sophos Firewall Manager (SFM) 16.5
Cyberoam OS 10.6.6
Sophos Web Appliance (SWA) 4.3.4
Cyberoam Central Console 02.04.0 Build 249
Cyberoam iView 0.1.2.8
Sophos iView 3.0.1.1
Sophos empfiehlt dringend, dass Sie, wenn Sie eine frühere Version von Sophos Firewall OS, UTM oder Cyberoam OS ausführen, auf die neueste Version von Sophos Firewall OS updaten sollten. Wenden Sie für alle Sophos Netzwerksicherheitsprodukte die neuesten Wartungsversionen an, sobald diese verfügbar sind.
Hinweis: Die Sophos Email Appliance (SEA) und UTM RED-Geräte werden derzeit untersucht. Weitere Informationen werden hinzugefügt, sobald sie verfügbar sind. Sophos WiFi Access Points (AP) sind nicht betroffen und erfordern keine Aktionen.
Sophos Schutz vor Meltdown- und Spectre-Exploits
Gegenwärtig gibt es drei Sicherheitslücken, die mit dem Kernel-Speicherleck verbunden sind:
CVE-2017-5753
CVE-2017-5715
CVE-2017-5754
Derzeit sind keine schädlichen Bedrohungen bekannt, die diese Sicherheitslücken ausnutzen. Sophos hat Schutz veröffentlicht, um sich vor zukünftigen Ereignissen zu schützen. Dieser Schutz wird weiterhin aktualisiert.
Bedrohung | Sophos IDE | Schutz-Verfügbarkeit | |
| Veröffentlichung gestartet | Veröffentlichung abgeschlossen | |
Mal/Spectre-B | zbot-lvw.ide | 2018-01-05 00:20 UTC | 2018-01-05 02:23 UTC |
Mal/Spectre-C | zbot-lvw.ide | 2018-01-05 00:20 UTC | 2018-01-05 02:23 UTC |
Mal/Spectre-D | zbot-lvw.ide | 2018-01-05 00:20 UTC | 2018-01-05 02:23 UTC |
Mal/Spectre-E | netwi-md.ide | 2018-01-05 06:58 UTC | 2018-01-05 09:00 UTC |
OSX/Spectre-B | netwi-md.ide | 2018-01-05 06:58 UTC | 2018-01-05 09:00 UTC |
Mal/Spectre-A | age-axyx.ide | 2018-01-05 18:31 UTC | 2018-01-05 20:34 UTC |
JS/Spectre-A | pdfu-dwf.ide | 2018-01-06 07:35 UTC | 2018-01-06 09:37 UTC |
Mal/Meltdown-A | msilk-al.ide | 2018-01-06 12:33 UTC | 2018-01-06 14:36 UTC |
Mal/Meltdown-B | msilk-al.ide | 2018-01-06 12:33 UTC | 2018-01-06 14:36 UTC |